travaux.telandgo.com

Attached to Project: travaux.telandgo.com
Opened by Beauchiere Remy - 26.09.2014
Last edited by Beauchiere Remy - 13.11.2014

Une très grave faille affectant Bash, le shell Unix du projet GNU, a été découverte. Certains spécialistes n'hésitent à comparer sa gravité celle d'Heartbleed car Bash est utilisé au sein de très nombreux environnements Unix ou Linux. Découverte par Stéphane Chazelas, la faille pourrait aussi être présente depuis longtemps dans de nombreuses déclinaisons Linux pour entreprise. Les serveurs Web Apache sont aussi particulièrement exposés. Pire, "un grand nombre de programmes peuvent interagir avec le shell. Nous ne pourrons donc jamais lister tous les logiciels que cette faille rend vulnérables", explique aujourd'hui l'expert Robert Graham. Correctement exploitée, la vulnérabilité permet à un attaquant d'exécuter son code dès que le shell est invoqué, ouvrant la voie à de nombreuses attaques. Des patchs ont commencé à être proposés pour plusieurs distributions Linux (RHLE, CentOS, Ubuntu, Debian,...) et d'autres devraient encore suivre. Mac OS X semble aussi être vulnérable, et ses utilisateurs peuvent même vérifier s'ils sont affectés, en attendant la réaction de la firme à la pomme. Test de vulnérabilité : https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test" Update : http://unix.stackexchange.com/questions/157414/how-to-only-install-security-updates-on-debian Changing squeeze to wheezy in /etc/apt/sources.list and then running: - apt-get update - apt-get install --only-upgrade bash